RODO w branży IT – o czym warto wiedzieć?

  • 10 listopada 2022
  • 405 Views

Tel. 10-09-02 Leszczyński Piotr, wł. zakł. fryzjer., Inżynierska 10.

Tak, tak, to nie ja, choć… no, mam lekki dreszczyk na karku, trochę jak na koniec “Lśnienia” Kubricka. To mój imiennik, który widnieje w Spisie Abonentów Warszawskiej Sieci Telefonów Polskiej Akcyjnej Spółki Telefonicznej 1937-1938. To już trudne do wyobrażenia, ale kiedyś, jeszcze całkiem niedawno, niekoniecznie przed drugą wojną, nie było RODO, były za to powszechnie dostępne – w każdej budce – książki telefoniczne zawierające adresy abonentów. (Dla młodszych czytelników: kiedyś telefony mieściły się nie w komórce, ale w budce.)

Wraz z wykładniczym wzrostem złożoności technologii, możliwości obróbki danych i zakresu ich wykorzystania w praktyce – w skrócie, wraz z pojawieniem się współczesnego Internetu – ludzie uświadomili sobie, że ich dane osobowe mają jakąś wartość. Albo inaczej, tę wartość ma spokój od natarczywych sprzedawców, próbujących wcisnąć a to polisę, a to fotowoltaikę – albo od natarczywych algorytmów, które wiedzą trochę za dużo i trochę za dobrze celują w nas reklamami. Dane, które wystarczą do identyfikacji Ciebie w sieci, są cennym towarem dla wielkich firm handlujących powierzchniami reklamowymi w Internecie – w zamian za możliwość lajkowania kotków oddajesz im prawo do profilowania Ciebie i do zalewania Ciebie potokiem reklam i (niezupełnie bezinteresownych) rekomendacji. Ta pojedyncza paczuszka danych, dotycząca jednej osoby i ograniczona zakresem do tego, co akurat potrzebne reklamodawcy, może nie jest strasznie cenna (stąd, sprzedając ją, dostajesz tylko feed pełen słodkich kotków), ale paczka tych paczuszek – milion, miliard sztuk – to już sporo i to ma dużą wartość. Dane mogą mieć zresztą różny zakres – zazwyczaj nikt nie podaje Facebookowi danych wrażliwych (dotyczących np. przebytych chorób, wyznania, przekonań politycznych itp.; choć wiele z nich da się wywnioskować nie wprost – z zachowania użytkownika), ale już taki ZUS wie o Tobie znacznie więcej.

Umówiliśmy się wszyscy zatem, że takie dane muszą być chronione, a za ich użycie niezgodne z zakresem zgody, jakiej udzielili ich właściciele, albo za ich niekontrolowany wyciek – są kary. I to często bardzo poważne. Oczywiście, cóż to dla Ciebie za pocieszenie, że ktoś, kto trzymał wrażliwe dane na Twój temat i nawalił, musi teraz zapłacić zyliard peelenów; ale jest jakaś szansa, że nikt nie lubi płacić tego zyliarda, więc postara się zabezpieczyć i nie nadużywać.

Jeśli masz takie dane u siebie w firmie, a, umówmy się, na pewno masz, to musisz je skutecznie zabezpieczyć – wielowymiarowo. (or else: zyliard.)

W wymiarze organizacyjnym potrzebujesz procedur postępowania – jak szkolić personel, jak postępować z danymi, co zrobić w razie zgłoszenia od osoby, która chciałaby zostać zapomniana (w wielu wypadkach ma do tego prawo), co w razie stwierdzenia jakichś nieprawidłowości itd. Być może musisz powołać kogoś na stanowisko Inspektora Danych Osobowych – i ten ktoś to wszystko będzie ogarniał.

W wymiarze technologicznym musisz zabezpieczyć serwery i aplikacje, zapewnić, że tylko niezbędny zakres danych będzie udostępniany w czasie procesowania, dopilnować koniecznej anominizacji itd.

W wymiarze prawnym – być może przyda Ci się regulamin w Twoim sklepie internetowym, a może dobra umowa z kontrahentami.

Oczywiście – swoje działania musisz dopasować do skali ryzyk. Co innego, jeśli masz małą listę klientów Twojego gabinetu manicure’u; a co innego, jeśli prowadzisz bazę pacjentów mających jakąś rzadką chorobę. Wszystkie środki muszą być dopasowane do rozmiaru zagadnienia.

Czasy otwartych książek teleadresowych już raczej nie wrócą. Sprawdź, czy na pewno dobrze pasujesz do współczesności. I pamiętaj, w określeniu wymiaru ryzyk, a potem w dopasowaniu najlepszego zestawu działań i ich wdrożeniu pomoże NetSupport.